Актуальное
- Опубликовано: 09 марта 2021
Испанский надзорный орган по защите данных (далее – AEPD) наложил штраф на общую сумму 6 000 000 евро на финансово-кредитную организацию CAIXABANK, S.A. за обработку персональных данных без законных оснований и за непредставление субъекту необходимой информации по тому, какие данные обрабатываются.
Как установил AEPD, в политике конфиденциальности CAIXABANK не было информации о категориях обрабатываемых персональных данных, о целях обработки, законном основании обработки. Банк нарушил ст. 13 и 14 GDPR, что было оценено в размере 2 000 000 евро штрафа.
Также надзорный орган Испании установил, что CAIXABANK не предусмотрел никакого механизма получения согласия субъекта персональных данных; а само согласие не отвечало критериям конкретности, информированности и сознательности. Регулятор подчеркнул, что обработка, основанная на законном интересе банка, не была достаточно обоснованной. Таким образом вследствие нарушения статьи 6 GDPR, AEPD дополнительно оштрафовал компанию на 4 000 000 евро.
В решении уточняется, что испанский регулятор учитывал характер, тяжесть и продолжительность нарушения; степень ответственности контроллера с учетом принятых технических и организационных мер; категории персональных данных, затронутых неправомерной обработкой; взаимосвязь между деятельностью компании и обработкой персональных данных; размер компании и ее оборот.
На сегодняшний день, это самый высокий штраф, который присуждался надзорным органом Испании по защите данных.